9:49
20/2/2017

Nieznani sprawcy wyczyścili konto oszczędnościowe pewnego klienta usług bankowych T-Mobile dostarczanych przez Alior Bank. Wystarczyło, że przestępcy odpowiedzieli przez telefon na kilka pytań. Historia może skończyć się dobrze dla poszkodowanego, ale kłopotom można było zapobiec, np. przez żądanie kodu jednorazowego do potwierdzenia operacji przelewu składanej przez telefon.

Po prostu zamknęli konto, zrobili przelew

Nasz Czytelnik, który chciał pozostać anonimowy, poinformował nas tydzień temu o dość nietypowej kradzieży środków z konta, jaka mu się przytrafiła. Chciał wiedzieć, czy dotarły już do nas informacje takich przypadkach, ale to było dla nas coś nowego. Na czym polegała nowa metoda przestępców? Oddajmy głos czytelnikowi:

Ktoś podszył się pode mnie w kontakcie telefonicznym z bankiem (T-Mobile Usługi Bankowe [dostarczane przez Alior Bank — dop. red.]) i wydał dyspozycję zamknięcia mojego rachunku oszczędnościowego oraz przelania znajdującej się tam dużej sumy pieniędzy na podane przez siebie konto. Stało się to pod koniec stycznia i byłem początkowo w ciężkim szoku. Teraz sprawę prowadzę już z prawnikiem, ale pomyślałem, że napiszę też do Was.
(…)
O produktach banku nie informowałem nikogo nigdy. Ciężko mi też uwierzyć w podsłuchanie lub wykradzenie tych danych przez wirusa, jestem programistą i od dawna dość rygorystycznie przestrzegałem zasad bezpieczeństwa.
(…)
Jestem też zaskoczony tym, że można takiej dyspozycji dokonać na telefon, bez innej formy autoryzacji i z pominięciem okresu wypowiedzenia umowy o rachunek. Kiedy wyrażałem przez infolinię zgody marketingowe (żeby dołączyć do Cashback) to musiałem podać kod z SMS, tak jak przy przelewach zlecanych przez Internet. Te wątpliwości podjęte są w [mojej] reklamacji.

Czytelnik, jak widać, jest świadomy. Nie brał też udziału w konkursie T-Mobile Usług Bankowych, który zachęcał swoich klientów do wgrywania na Facebooka zdjęć swojej karty płatniczej… (por. T-Mobile zachęca swoich klientów do pokazywania kart płatniczych). Jak więc możliwe, że komuś mimo wszystko udało się wykraść jego pieniądze?

Weryfikacja obejmuje… szczegółowe pytania

Zamkniecie rachunku przez telefon i transfer wszystkich zgromadzonych na nim środków na inne konto bez konieczności podania jednorazowego kodu? Brzmi nieprawdopodobnie. Dlatego skierowaliśmy pytania w tej sprawie do rzecznika Alior Banku, który obsługuje usługi bankowe pod marką T-Mobile.

Oto wypowiedź rzecznika Alior Banku, Juliana Krzyżanowskiego:

Odpowiadając na Pana pytanie pragnę wyjaśnić, że klient może zamknąć produkt telefonicznie wyłącznie po potwierdzeniu swojej tożsamości. Weryfikacja obejmuje szereg bardzo szczegółowych pytań osobowych oraz produktowych. Po jej dokonaniu klient może przelać środki na rachunek w obcym banku, obecnie jedynie do kwoty 100 zł. Jeśli na koncie znajdują się środki o wyższej wartości, klient może samodzielnie dokonać przelewu za pośrednictwem systemu bankowości elektronicznej lub zamknąć rachunek osobiście w oddziale.

Julian Krzyżanowski dodał, że przypadek naszego Czytelnika to był “jednostkowy przypadek” i moglibyśmy dowiedzieć się więcej, gdyby nie tajemnica bankowa. Tak czy owak, w odpowiedzi rzecznika są dwie istotne informacje.

  1. Weryfikacja operacji zamknięcia konta i przelewu środków następowała wyłącznie na podstawie odpowiedzi na pytania. Rzecznik nie wspomniał nic o wymaganiu kodu jednorazowego, choć autoryzacja dyspozycji tego typu może być stosowana w serwisach telefonicznych. W niektórych bankach podanie kodu będzie niezbędne nawet przy operacji mniej “wrażliwej” niż przelew. Dla pewności, dopytaliśmy Alior Bank, czy kod nie był potrzebny. Odpowiedziano nam, że “Decyzje o stosowanych metodach bezpieczeństwa podejmowane są w oparciu o analizę i ocenę ryzyka, z uwzględnieniem potrzeb i wymagań biznesowych.“.
    Poza kodem jednorazowym bank może zastosować jeszcze inną metodę autoryzacji — telefon do wydającego dyspozycję klienta na numer podany w danych do korespondencji. W niektórych bankach każdy przelew powyżej pewnej kwoty musi być autoryzowany w rozmowie telefonicznej wykonanej do klienta, nawet jeśli wcześniej został potwierdzony kodem jednorazowym!
  2. Obecnie po zamknięciu konta można przelać tylko do 100 zł. Czy “obecnie” oznacza, że przed tą kradzieżą można było więcej?

Kiedy spytaliśmy naszego Czytelnika o to jaką kwotę przelano z jego konta. Dowiedzieliśmy się, że chodziło o kwotę “dwa rzędy wielkości większą niż 100 zł“. Czytelnik wspomniał też, że bank sam zgłosił sprawę do prokuratury.

Sprawa jest rozwojowa

W końcówce minionego tygodnia, Czytelnik powiadomił nas o dalszym ciągu sprawy.

Byłem dzisiaj na komendzie miejskiej żeby złożyć zeznania i dowiedziałem się, że całość środków jest zabezpieczona. GetinBank (…) zaklasyfikował przelew jako podejrzany i zablokował pieniądze do czasu wyjaśnienia sprawy. Policja już pytała o konto na które mogą mi środki zwrócić i mają to ‘niedługo’ zrobić.
Ponadto toczy się postępowanie, organy ścigania analizowały nagranie telefoniczne, pytali mnie o parę nazwisk itp. Sprawa jest rzekomo ‘rozwojowa’. Natomiast Alior odpowiedział na reklamację tylko tym, że środki zabezpieczono. Nie odniósł się do pytań m.in. jak w ogóle było możliwe zamknięcie rachunku na telefon, bez kodów na SMS i bez okresu wypowiedzenia.

Wygląda na to, że ta kradzież mogła być dobrze zaplanowana choć oczywiście luki w zabezpieczeniach Aliora mogły pomóc (i wiele wskazuje na to, że złodzieje byli świadomi tych luk). Być może są jeszcze inne osoby, które wiedzą coś o podobnych przypadkach. Jeśli tak to dajcie znać.

Nie zgadniecie, co złodziej chciał zrobić z wykradzionymi pieniędzmi…

Zanim rzecznik Alior Banku nam odpowiedział na zadane pytania, dowiedzieliśmy się od Czytelnika, że w międzyczasie dostał list z prośbą o weryfikację konta na giełdzie bitcoinowej BitMarket, którego — jak możecie się domyślić — sam nie zakładał. Wygląda więc na to, że ktoś próbuje wykradzione środki zamienić na wirtualną walutę, korzystając od tego z tej samej “skradzionej” tożsamości.

Mam konto w banku — co robić, jak żyć?

O tym jak bezpiecznie robić przelewy, pisaliśmy już nie raz (por. 6 porad jak bezpiecznie wykonywać przelewy). Opisany wyżej przypadek naszego Czytelnika pokazuje jednak, że nawet stosując się do porad “bezpiecznej bankowości elektronicznej” możemy paść ofiarą kradzieży wszystkich środków. Choćby ze względu na przeoczenia w bankowych procedurach weryfikacji klienta. Tu oczywiście zaradzić mógłby sam T-Mobile/Alior, wdrażając potwierdzenie tego typu dyspozycji kodem jednorazowym. Spytaliśmy więc Usługi Bankowe T-Mobile dostarczane przez Alior Bank, czy mają zamiar wprowadzić potwierdzanie podobnych transakcji kodem jednorazowym. Odpowiedziano nam, że:

“Informacje o stosowanych i planowanych do wdrożenia rozwiązaniach bezpieczeństwa mają charakter wewnętrzny”

Czyli nie wiadomo, czy bank to zrobi. Ale uwierzytelnianie telefoniczne to pięta achillesowa wielu usług, nie tylko bankowych. Manipulując konsultantami na infoliniach często można uzyskać coś, co w bezpośredniej interakcji z serwisem internetowym danej usługi nie jest możliwe.

Wystarczy wspomnieć przypadek dziennikarza, któremu ktoś przejął konto Apple i zdalnie skasował dane z laptopa, telefonu i iPada, a wszystko dzięki wcześniejszemu zmanipulowaniu call center Amazona (por. Jak Amazon pomógł zhackować Apple). Albo wpadkę CEO Cloudflare, którego pełne służbowych danych konto na GMailu przejęto po jednym telefonie do jego operatora telefonii komórkowej i wystosowanej do niego prośbie o przekierowanie poczty głosowej na inny, kontrolowany przez przestępców numer telefonu (tak odczytano kod potrzebny do resetu hasła do GMaila).

W przypadku ataku na Usługi Bankowe T-Mobile dostarczane przez Alior Bank ciężko jednak mówić o socjotechnice, tu znajdowała się luka w tzw. “logice biznesowej” — po prostu brakowało odpowiednio silnego zabezpieczenia (podobnie jak rok temu w BZWBK por. Fatalna decyzja banku ułatwiła kradzież setek tysięcy złotych z kont klientów). W przypadku T-Mobile/Aliora, ktoś, kto znał odpowiedź na “szczegółowe pytania dotyczące produktów klienta” był w stanie w rozmowie telefonicznej podszyć się pod niego.

Dlatego, lepiej nie chwalcie się z jakich usług korzystacie. I jak brzmi panieńskie nazwisko Waszej mamy (tu warto sprawdzić, czy na Facebooku nie macie oznaczonego konta Mamy jako “rodziny”, a Mama w publicznym profilu nie chwali się nazwiskiem panieńskim). Na marginesie, to że ukryjecie swoją datę urodzenia na FB za wiele nie zmieni — każdy kto przejrzy Wasz profil pod kątem zwrotów “sto lat!” i tak dowie się, w jakim dniu obchodzicie urodziny…

Aktualizacja 13:35
Po publikacji niniejszego artykułu zgłosiła się do nas osoba, która poinformowała nas o trochę innym wariancie ataku (ale również z wykorzystaniem połączenia telefonicznego), w ramach którego klientom Aliora w minionym roku skradziono środki z kont (idące w setki tysięcy złotych). Wiemy, że poszkodowanych osób jest więcej i szukamy do nich kontaktu. Jeśli znasz taką osobę lub jesteś jedną z nich, daj nam znać przez formularz kontaktowy.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

76 komentarzy

Dodaj komentarz
  1. On może nie ma konta na FB, ale jego żona już może mieć, a wtedy wystarczy np. jedno zdjęcie jego żony z teściową + oznaczenie i po sprawie.
    Swoją drogą ciekawe, czy banki weryfikują w jakiś sposób poprawność tych danych, wtedy wpisanie np. fikcyjnego nazwiska znanego tylko tej osobie znacząco utrudniłoby taki dostęp. Druga sprawa – co w przypadku zamknięcia takiego konta ze zmienionymi danymi, np. sprawy przy sprawie spadkowej itp., dostęp do tego konta byłby znacząco utrudniony przez niezgodność danych ze stanem faktycznym.

    • Przecież nie mozesz założyc konta na nie swoje nazwisko. Przy zakladaniu dokladnie sprawdzaj imie, nazwisko, pesel. Gdyby mozna bylo zalozyc lewe konto to by sie dopiero dzialo … :)

    • Chodzi o nazwisko panieńskie matki, o które zwykle pytają.
      Plus mnie zwykle pytają o usługi, które są raczej niszowe i można założyć, że większość osób z nich nie korzysta (np. ile ma pan rachunków maklerskich w naszym banku)

    • NIE sprawdzają nazwiska panieńskiego matki, wiem, bo zawsze podaje fałszywe.

    • Dlatego najlepiej nie mieć konta w banku i spisz spokojnie , nikt nic ci nie ukradnie.

  2. Nie wierzę, że nikt z banku nie miał z tym nic wspólnego, bo inaczej skąd by znali odpowiedzi na pytania? Obstawiam kogoś z placówki banku… Zapewne mają dostęp do tego typu danych. A, że pewnie zauważyli cykliczne przelewy o zapewne interesujących sumach… Ewentualnie jakiś komputer w placówce został zainfekowany. Zwykle takie lokalne oddziały są małe i niewielu klientów tam się pojawia w ciągu dnia, więc założę się, że pracownicy różne koty oglądają na kompach.

    • A może kurier, bo z tego co wiem, to Alior UB otwiera konta głównie na odległość…

    • Te szczegółowe pytania to pytania typu:
      – ile kont oszczędnościowych w PLN Pan/Pani posiada?
      – ile kont w EUR Pan/Pani posiada?
      – ile kart kredytowych Pan/Pani posiada
      – ile kredytów gotówkowych Pan/Pani posiada.
      … itp.
      Myślę, że można na to odpowiedzieć strzelając, a jak się nie uda i weryfikacja za pierwszym razem się nie uda, próbować zadzwonić jeszcze raz (ciekawe, czy i po ilu nieudanych telefonicznych autoryzacjach zadziała jakaś procedura).

    • Myślę że wiele banków nie zablokuje autoryzacji. Ale dopóki banki biorą to na siebie to jest to akceptowalne ryzyko. Po za tym, takie weryfikacje mają często pytania na które odpowiedź tak lub nie lub jakaś liczba będą zawsze błędne. Np. ile miesięcy temu zamknął pan swoje konto oszczędnościowe, podczas gdy konta nigdy nie było.

      Oczywiście zawsze istnieje ryzyko że ktoś trafi, dlatego tez zwykle bez autoryzacji hasłem na infolinii niewiele zrobisz. Ot, autoryzacja pozwoli ci uzyskać prawo do poproszenia o kod SMS.

      PS. Drugą stroną medalu są klienci którzy telefonów potwierdzających z banku nie doceniają i szukają banku który jest bardziej “elastyczny” pod względem zabezpieczeń. A przynajmniej tak zapowiadają gdy są informowani o zablokowaniu operacji.

  3. Telefoniczny kanał dostępu do bankowości internetowej zawsze mam zablokowany, chociaż czasem utrudnia to życie. Zdarzało mi się na chwilę odblokowywać ten kanał np w Inteligo, ale to wyjątek.

  4. Nazwisko panieńskie matki? Do ustalenia.
    PESEL? Do ustalenia?
    Miejsce zamieszkania? Do ustalenia.
    Czy posiada pan konto oszczędnościowe w złotych? Posiadam.
    Czy posiada pan rachunek oszczędnościowo-rozliczeniowy w funtach brytyjskich? Nie posiadam.
    Dziekuję, weryfikacja przebiegła pomyślnie.

    Mam konto w TMUBDPA.
    Tak to wygląda.

    • Dlatego warto mieć parę niestandardowych produktów (które w TMUB są free) i po kłopocie.

    • No nie, te pytania są jednak szczegółowe. W tym przypadku ktoś musiał być naprawdę przygotowany…

    • odpowiedzi na te pytania mozna udzielić bez problemu jeśli przechwyciło się wczesniej login i hasło do banku – wszystko mozna sprawdzić przez www. więc takie zabezpieczenie jest g… warte.

    • ogólnie sporo faktów można ustalić, szczególnie jeśli ofiarą jest ktoś z kim mamy jakiś bliższy kontakt, nie mówiąc już o światowej modzie hashtagowania całego życia na FB – bo niestety głupi ludzie nie mają pojęcia jak z pozoru błahe i nic nie znaczące informacje można wykorzystać, a nawet jeśli są tego świadomi to ich wyobraźnia nie wkracza już w kwestie możliwości przejrzenia profili znajomych i powiązania kilku info ze sobą, którzy inni zamieszczają – a to dziecinnie proste i diabelsko skuteczne…. wiem z doświadczenia.

  5. Dlatego we wszystkich bankach mam standardowo w ustawieniach zablokowany kanał telefoniczny, tylko internet i mobile dostępne.

    • – Wybierz zero, jeśli nie pamiętasz swojego hasła telefonicznego
      – 0
      – Dzień dobry, w czym mogę pomóc?
      – Chciałbym odblokować dostęp do kanału telefonicznego
      – Aby odblokować dostęp do kanału telefonicznego…

    • U mnie nie zabangla, bo wymagany jest kod który da się ustawić tylko osobiście w palcówce.

    • osobiście w czym? :) jeśli w Twoim banku są ładne młode konsultantki, to poproszę o namiar :)

  6. Rozumiem, że dyspozycja przelewu i zamknięcia konta przez telefon odbyła się z numeru NIE umieszczonego w systemie jako numer kontaktowy do klienta. Wysłanie hasła jednorazowego wówczas nie miałoby przecież większego sensu.
    Swoją drogą, pozwalanie na tego typu operacje telefoniczne z numeru innego niż zdefiniowany w systemie to – same w sobie – zasadnicze uchybienie w procedurze bezpieczeństwa, czyż nie?

    • Oczywiście że miałoby sens, taka jest właśnie idea tych smsów, że przychodzą na zdefiniowany wcześniej numer. To że ktoś dzwoni z innego numeru to nie znaczy że nie ma przy sobie numeru z którego może odebrać kod jednorazowy. A w opisywanym prZypadku właściciel konta zostałby powiadomiony o próbie autoryzacji operacji przez oszusta, tak więc win-win.

  7. ten “haha bank” nie stać na e-mail z potwierdzeniem przyjęcia zlecenia??? ale to T więc czego oczekiwać…

  8. Chyba jedyny sposób to zapisywanie przez bank jakiegoś voiceprinta z głosu klienta. To powinno wykluczyć, przynajmniej na jakiś czas podszywanie się pod inne osoby. Jeżeli klient dzwoni ponownie, to łatwo określić czy mu się głos nie zmienił.

    • Jakiś czas temu jeden z banków wdrażał system rozpoznawania głosu, co wywołało protesty przeciw naruszaniu prywatności. Tak źle i tak niedobrze…

    • Katar, chrypka i już nic nie zrobisz na infolinii. Tak źle i tak niedobrze. ;-)

  9. Całkiem niedawno w tym samym banku próbowałem zamknąć rachunek przy pomocy infolinii, i choć jestem pewien, że udzieliłem wszystkich prawidłowych odpowiedzi weryfikacja wypadła negatywnie.
    Pomyślałem, że to taki chwyt na przedłużenie sprawy i może zmianę decyzji a tu się może okazać, że te siostry mają tam niezły b…

    • Bywają niejednoznaczne pytania – już nie pamiętam szczegółów, ale w jednym banku dość długo się wahałam nad odpowiedzią na niby proste pytanie, ale po prostu źle sformułowane. Jak w końcu wybrałam interpretację, którą by wybrało 99% społeczeństwa, to przeszło. Ale pani na infolinii przeszkolona – ciągle słyszałam tylko “tak albo nie”.

  10. Nie rozumiem tak przy okazji jak można takie środki trzymać w T-Mobile usł. bank. – odsetki tam mają jedne z gorszych, nawet nie licząc ofert promocyjnych.

    • Ostatnio mieli przyjemną lokatę mobilną (akurat na dwa rzędy wielkości więcej niż te 100zł). A poza tym są ludzie, którzy wolą 1% na lokacie niż 10 kont bankowych.

  11. Bezpieczeństwo w bankach (i systemach kartowych) od dawna jest na zasadzie ryzyka, tzn bank podejmuje pewne ryzyko niestosowania bardziej skutecznych zabezpieczeń, licząc, że straty będą niższe niż koszty tych zabezpieczeń. Jak dotąd, są.

    Stresu klienta nie uznaje się za koszt…

    A w opisanym przypadku, śmierdzi inside jobem.

    • To dotyczy bezpieczeństwa w ogólności, nie tylko w bankach :) Ja bym napisał:
      ,,Bezpieczeństwo od dawna jest na zasadzie ryzyka, tzn podejmuje się pewne ryzyko niestosowania bardziej skutecznych zabezpieczeń, licząc, że straty będą niższe niż koszty tych zabezpieczeń.”

  12. „Informacje o stosowanych i planowanych do wdrożenia rozwiązaniach bezpieczeństwa mają charakter wewnętrzny”

    No w tym miejscu oczy mi pękli i wypłyli. Przecież to są informacje, które powinny być eksponowane w materiałach reklamowych, bo są istotne dla klienta przy wyborze banku. Rozumiem, że szczegóły techniczne np. transmisji czy przechowywania danych powinny być poufne, ale sam fakt, że bank stosuje (lub nie) dwustopniową autoryzację? No przecież taka odpowiedź jest dyskwalifikująca dla banku.
    Cholibka, ja ogólnie wiem, że banki mają nas gdzieś i robią jak chcą, ale za każdym razem jak to się tak dobitnie ujawnia, to mnie jednak trochę przygnębia. :/

  13. Znam ja te pytania.
    “Czy ma pan u nas konto w euro?”
    “Czy ma pan u nas konto w dolarach?”
    “Czy ma pan u nas lokatę?”

    można śmiało strzelić 3xNIE i to wystarcza. paranoja.

    • Moźe być jeszcze gorzej. Bo po pierwszej nieudanej weryfikacji produktami nie masz gwarancji, że bank oddzwoni do właściciela konta lub, że zablokuje na kilka(naście) godzin możliwość kolejnej próby.

  14. K. Mitnick w swojej ,,Sztuce Podstępu” podał podobny przykład. Widać (za)wiele osób nie czytało tej pozycji, a szkoda, bo mimo lat które minęły od pierwszego wydania – (socjo)techniki się najwyraźniej nie zmieniły i nadal są skuteczne.

  15. Niestety trudno mi uwierzyć, że ktoś znał poprawne odpowiedzi na wszystkie pytania zadawane w tym banku. Zdarzyło mi się (a jestem osobą raczej świadomą i systematyczną), że na próbie złożenia reklamacji, poległem na odpowiedziach weryfikacyjnych dla własnego rachunku. Dlaczego? Bo szczegółowość pytań była tak duża, a przy okazji pytania nie do końca jednoznaczne, że się nie udało bez ponownej próby. Chyba, że pytania zostały uproszczone.

    • “nie udało się bez ponownej próby”. Może i przestępca próbował do skutku?

  16. mala podpowiedz.
    Nie ma potrzeby podawania prawdziwego nazwiska panienskiego matki.
    Nikt przeciez tego nie sprawdzi.
    Mozecie podawac dowolne, wymyslone nazwisko. Wazne aby pamietac jakie wpoisalismy w danych banku.

    • Nieprawda. Zamykałem kiedyś konto w MBanku i okazało się że pracownik błędnie wpisał nazwisko panieńskie matki. Kazali mi przynieść stosowne dokumenty w oryginałach, musiałem załatwić akt małżeństwa rodziców i kilka razy chodzić osobiście do oddziału. Masakra. Trwało to ponad trzy tygodnie i gdyby nie to, że konto było wspólne z żoną miałbym zablokowane środki na taki długi czas. Wszystko z powodu literówki pracownika banku. Miałem dowód, ksero dokumentu wypełnionego przy zakładaniu rachunku, nie pomogło.

    • Dokladnie! Kto w banku podaje prawdziwe nazwisko panienskie matki!?!
      W jednym banku mam nawet “WymysloneNazwiskoMatki91” – przeszlo :-)

    • Oświadczenie we wniosku o założenie konta w mBanku:

      “Autentyczność danych wskazanych we Wniosku
      Potwierdzam, że wszystkie dane które przekazałem do Banku w celu zawarcia Umowy podałem dobrowolnie, są one kompletne i prawdziwe.”

      Szybkie googlanie nie zwróciło mi paragrafu, pod który w sposób oczywisty podpadałoby podanie nieprawdziwego nazwiska panieńskiego matki; 271 – nie, bo dotyczy funkcjonariusza publicznego; 286 – chyba też nie, bo trudno mi wyobrazić sobie uzależnianie decyzji o otwarciu konta od tożsamości matki wnioskującego. Niemniej jednak wydaje mi się, że podawanie nieprawdziwych danych może grozić kłopotami.

    • […] Niemniej jednak wydaje mi się, że podawanie nieprawdziwych danych może grozić kłopotami. […]

      @kaper Kto i czemu mialby scigac za nieprawdziwe nazwisko panienskie matki? Jaki interes ma w tym bank?
      Sugestia, zeby nazwisko panienskie matki traktowac jak kolejne haslo pochodzi od pracownika banku, w ktorym zakladalem swoje pierwsze, studenckie konto. Od tamtego czasu mialem juz z 15 innych kont w roznych bankach i nigdy nie mialem problemu.

      PS. Nazwisko panienskie matki musi miec co najmniej 8 znakow i zawierac duze i male litery, cyfry i znaki specjalne :-D

  17. Cały Alior Bank, i tak na marginesie JAK można mieć konto bankowe w jakiś T-MOBILACH?!?!

    • W sumie to bardzo dobre konto.
      Znajdź mi lepsze, gdzie można mieć całkowicie darmową kartę walutową.

    • Citibank oraz Kantor Walutowy Alior – w obu dostępna zupełnie darmowa opcja karty walutowej

    • T-Mobile uslugi bankowe to dawny sync.pl Na poczatku mieli wszystko za darmo i nazbierali troche klientow. Teraz tez jest calkiem ok bo mozna miec konto za darmo i jako jedyni daja bezterminowy cash back do 25zl. Ale faktycznie, wiekszych oszczednosci bym u nich nie trzymal :(

  18. Witam,

    nie wiem jak jest teraz- ale mam zebralem doswiadczenie w obsłudze telefonicznej- nie wiem też jak przebiega identyfikacja Klienta w Tmobile- ale czy przypadkiem klient nie musi sie uwierzytelnic ID/telehasłem?? przed dokonaniem operacji?- w temacie kwot- mialem stycznosc z płatnosciami zlecanymi na siedmiocyfrowe kwoty- wykonywanymi po dodatkowej identyfikacji omawianej w artykule. Dwa mowimy o zamknieciu rachunku głównego? bo z tego co wiem to nie jest w tmobile możliwe via telefon. czy mowimy o zamknieciu konta oszczednosciowego bedacego subkontem do tego rachunku- co jest mozliwe zapewne( wiekszosc banków ma analogiczne standardy obsługi) . Rozumiem kwestie bezpieczenstwa – ale autoryzacja telefonem do Klienta?? 1. jak ten klient w rozmowie zleca przelew to jak ma odebrac telefon?? 2. nie wiem czy ufałbym połaczeniu przychodzącemu- potwierdzajacemu zlecenie, z potwierdzeniem danych- gdyz otwiera to duzo innych możliwosci. @ luzak- “Świadom odpowiedzialności karnej potwierdzam prawdziwość podanych danych” – jak to ominiesz? I na koniec myślę iż powinnismy kierować sie komentarzem #fisz- ,,Bezpieczeństwo od dawna jest na zasadzie ryzyka, tzn podejmuje się pewne ryzyko niestosowania bardziej skutecznych zabezpieczeń, licząc, że straty będą niższe niż koszty tych zabezpieczeń.” I wiemy, nie od dzis, że jest to raczej kompromisowa wartość.
    Chwała GNB-że zablokował środki, z własnej inicjatywy- narażając się na konsekwencje w przypadku rzeczywistej dyspozycji Klienta.

  19. Rok temu potrzebowałem zresetować hasło do konta w Aliorze będąc na lotnisku we Frankfurcie. Ze stresu odpowiedziałem na któreś z pytań (Ile kont EUR / USD i czy mam u nich kredyt) źle. Zostałem poinformowany, że nie przeszedłem weryfikacji, zszokowany spytałem – i co teraz?. Pan z infolinii zasugerował zadzwonić raz jeszcze i spróbować odpowiedzieć inaczej na pytania.

    I tak zrobiłem. Zresetowałem sobie w ten sposób hasło do bankowości internetowej. Nikt o nieudanej próbie weryfikacji mnie nie poinformował.

  20. W t-mobile usługi bankowe można wielokrotnie przechodzić weryfikację . Ja raz robiłem to 3 razy bo zapomniałem o jednym koncie

  21. W zeszłym tygodniu dzwonił do mnie ktoś z numeru +48 12 390 86 55 i przedstawił się jako pracownik TMobile Usługi Bankowe. Zapytał czy rozmawia z . Potwierdziłem i wtedy poprosił “w celach weryfikacji” datę urodzenia. Pogoniłem na drzewo. Ciekawe czy można te historyjki jakoś połączyć.

    • Dział windykacji :D
      Albo dział marketingu….

      Co gorsza potrafią dzwonić po kilka razy jednego dnia z “ważną informacją bankową”
      Źle zrobiony przlew niedopłata i dzwonią mistrzowie w piątek ze nie ma kasy!!!!
      – Ok sprawdze przeleje…
      – W piątek wieczorem niema kasy….
      – nosz qwa jak ma być?
      – Ale obiecał pan… Nosz qwa ale nie ma takiej fizycznej zeby doszła.
      Sobota 7:59
      -NIE MA KASY!!!!! no to zablokowałem numer zidentyfikowany jako banku po wytłumaczeniu konsultantowi że to już nie windykacja a zwykła gangsterska i że są durniejsi niż ustawa przewiduje bo przelew nie dojdzie do ich cudnego banku z piątku na sobotę.

      Ale za dwie godziny telefon…. z innego numeru… :D

      To dsamo z ofertami jednynymi w swoim rodaju.
      -Mamy dla pana wspaniałą ofertę kredytu przygotowaną przez bank…
      Ale proszę podać rozmiar majtek i listę partnerów seksualnych z ostatnich 100lat…
      A i sprawdzimy pana w bik srik us zus i w zakładzie pogrzebowym a na koniec poprosimy o dowody zarobków i zadamy jeszcze trzy pytania pomocnicze….
      No nie ma to jak oferta banku…. A czemu? Bo nie wyraziłem zgodyu na kontakty marketingowe.
      Wić dzwonią buce z ofertą banku. Dla niezorientowanych czasem porządne banki mają oferty dla swoich klientów. Nagle stwierdzają zę klient jest ok i dadzą mu np kredyt czy super lokatę czy coś tam innego. Dzwonią i jedynym co trzeba zrobić to powiedzieć chcę.
      Nie ma weryfikacji i np zapytania do BIK (istotne bo spada nam punktacja)
      To nie jest oferta marketingowa i mogą zadzwonić bez zgody. To jest pytanie banku o uruchomienie produktu dodanego do oferty specjalnie dla nas.
      Ale mbank dzwoni z reklamami kredytów notorycznie nazywając to ofertą bankową.
      I zawsze zadaje tysiąc puytań do.

      Ludzie mało asertywni odpowiadają a zadzwonić może każdy bo dzwonią banki z dowolnych nr.
      Ile razy słyszałem jak dzwoniła windykacja do kogoś i wyciągała rozmiar majtek… A ten w autobusie. Ale jak sie takiemu bałwanowi z banku powie że sie nie może rozmawiać to on sie robi agresywny i straszy :D No to ludzie się boją i podają poufne dane gdzie bądź będąc.
      Przecież jak kiedyś usłyszałem ze jak nie podam to znają za odmowę współpracy to mnie zagotowało. Na koniec okazało sie ze im się osoby popierniczyły…

      Pomijam ze banki masowo przekazują dane do firm współpracujących czyli inaczej wszelkich windykacji i te dzwonią i proszą o dane weryfikacyjne!!!!!
      A przecież to nie są pracownicy banku…

    • Jak do mnie dzwonili i prosili o podanie daty urodzenia, to odpowiadałem ‘echo date(“Y”);’ (z dokładnością do dnia). Informowano mnie, że weryfikacja nie przeszła poprawnie i się ludzie rozłączali. To najszybsza metoda na zakończenie rozmowy z działem windykacji.

      Kiedy informowałem, że nie podam bo to dane prywatne a ja nie mogę zweryfikować, czy oni faktycznie są z banku, to dostałem odpowiedź, że “to nie są dane poufne”.
      Wolę się rozłączyć a potem ewentualnie sam zadzwonić pod numer wzięty ze strony banku i spytać o co im chodzi. Wtedy wiem*, że rozmawiam z pracownikiem banku a nie jakąś dowolną osobą znającą mój numer i zakładającą, że mam konto w danym banku.
      ___
      *wiem – istnieje niezerowe prawdopodobieństwo, że numer z oficjalnej strony banku jest prawidłowy i połączenie wykonywane z mojego telefonu jest wykonywane z tym numerem, który “wykręciłem”.

  22. Ja mam jeszcze inne doświadczenia z T-mobile bankiem, a mianowicie jeśli wnioskujesz o wydanie duplikatu karty , której ważność jeszcze nie upłynęła (np. tak jak moim przypadku – połamałem kartę), to karta przychodzi już aktywowana i co najlepsze zwykłym listem. Przerabiałem to u nich dwa razy. To jest jakiś dramat.

  23. Dlatego mam na FB fałszywą datę urodzenia i miejsce zamieszkania. Kiedyś miałem także nazwisko, ale ktoś zakablował i FB mi nakazał zmianę na prawdziwe pod groźbą zablokowania konta.

    • A kto ci kazał podawać prawdziwe dane po tej “groźbie”? Zmieniałem kilkukrotnie, nigdy nie podałem prawdziwego.

  24. Banki nie weryfikują nazwiska Panieńskiego. Ja w każdym banku mam inne. W jednym mam prawdziwe i nie mogę tego zmienić inaczej niż zamykając konto. Juz sie o to kłóciłem z bankiem i ma ma innego sposobu by je zmienić.

  25. Może warto udziwnić posiadane konta w danym banku – dodając dodatkowe, darmowe, niepotrzebne Ci oszczędnościowe czy jakieś walutowe – w ten sposób nie tak łatwo da się zgadnąć odpowiedzi na pytania weryfikacyjne.

  26. Problem jest taki: https://www.youtube.com/watch?v=03PPfWxK2HU

    • A kto pokusiłby się o to, by ściągnąć numer karty, który wykręcił DMTF-em?

  27. Sam mam tam konto jeszcze kiedy było to lior sync. Pamiętam, że założyłem je i zapomniałem z jakiegoś powodu. Po czasie (z roku temu)próbowałem odzyskać dane logowania, bo naturalnie wszystkiego pozapominałem z numerem klienta włącznie.

    Procedura była bardzo krótka odpytano mnie o dane z dowodu, w tym jego numer – easy!

    A następnie 2 pytania: czy posiadam konto walutowe i czy posiadam konto oszczędnościowe i jeśli tak w jakiej walucie.

    Po tym “wszystkim” zostałem poprawnie zweryfikowany i mogłem wprowadzać pełne dyspozycje – między innymi zmieniłem adres korespondencyjny i zaufany numer telefonu na który otrzymałem nowy login wraz z tymczasowym hasłem.

    Czytając ten artykuł przeraziłem się jeszcze bardziej, kiedy to obie przypomniałem.

  28. Pytania kontrolne? A ile razy dzwonią do Was mauketingowcy z banków z niebankowych numerów i pytają czy pan to pan i w celu potwierdzenia, żądają odpowiedzi na pytania kontrolne. Ja zawsze pytam – a jak mogę Panią/Pana zweryfikować? No i tu się zaczyna ściema (“no przecież Panu mówię że nazywam się tak i tak” (!) albo “może pan zadzwonić na numer…” tak, oczywiście mam czas weryfikować czy ten numer to numer danej instytucji i jeszcze przetwierać przez infolinię z nazwiskiem i imieniem konsultanta w pamięci).
    Problem banków i telekomów, to to, że:
    1. używają różnych telefonów (pewnie firm które wynajmują do telemarketingu)
    2. dzwonią z informacjami handlowymi (tfu ofertami…) żądając weryfikacji. Niektóre firmy (chyba nie w Polsce) do takich telefonów ustalają specjalne na tą okazje hasła i odezwę, ciekawe kiedy w PL się tego doczekamy.

    Reasumując – myślę, że łatwo udając telemarketera skłonić kogoś do wyjawienia tych odpowiedzi, ba, czasem już ludzie na wstępie się przedstawiają więc od razu mamy już imię i nazwisko, potem jeszcze trzeba wyciągnąc nazwę banku (a to już po “weryfikacji”).

  29. Mam konto w T mobile, niedawno dzwonił do mnie jakiś typek, mówił, że jest z banku i prosił o podanie daty urodzenia. Kiedy powiedziałam, że nie podam, zrobił się nieprzyjemny a w końcu rozłączył się grożąc, że ma dla mnie ważną informację z banku i że mogę mieć kłopoty. Kłopotów żadnych nie mam, być może chodziło właśnie o wyłudzenie danych.

  30. Stare, ale może nie wszyscy widzieli: http://bit.ly/10minut-infolinia

  31. Przypomniało mi się też moje małe oszustwo telefoniczne którego się dopuściłem bo (mimo, że chciałem jak należy – nie dało się):

    sprawa dotyczyła zmiany danych osobowych abonenta w Netii, umowa na internet podpisana była na członka rodziny z którym mieszkałem, a niestety zmarł, w związku z czym chciałem (pozostawiając usługi) zmienić jedynie dane osobowe, czyli praktycznie tylko imię i pesel, bo reszta danych była identyczna. Wysyłałem pisma, prosili mnie o kopię aktu zgonu, wysłałem, ale okazało się, że możemy jedynie zerwać umowę i podpisać nową co wiązało by się z niemal miesięcznym brakiem internetu – oczywiście mnie to nie satysfakcjonowało.

    Próbowałem później przez infolinię – przedstawiając się jako ja, nie mogłem złożyć takiej dyspozycji i doradzono mi, że zamiast zmieniać dane osobowe mógłbym “dopisać” moje dane do danych głównego abonenta (umowa byłaby na 2 osoby), ale taką dyspozycję musiałby wydać (nieżyjący już) główny abonent. Nie ma problemu…. odłożyłem słuchawkę zadzwoniłem jeszcze raz podając się za zmarłą osobę i bez problemu moje dane zostały dopisane i są tak po dziś dzień….

    PS identyczna sytuacja dotyczyła usług telefonicznych u innego operatora – tam bez problemu załatwiłem sprawę jednym pismem i po ludzku

  32. Znajomy wtopił jedną z metod weryfikacji – pytania.

    Okazało się że zhakowano konto jego kumpla. Podszyli się pod jego kumpla – prześledzili historię rozmów, w jaki sposób pisze,m gdzie popełnia błędy, jak prowadzi dyskusje, jak się zwraca itd. po czym zagadali do mojego znajomego.
    Z łatwością wyciągnęli odpowiedzi na pytania… mój ulubiony, moja pierwsza, moje to moje tamto moje sramto. Lawinowo oberwał po wszystkim.

    Obecnie odpowiedzi na pytania, jeśli są podaje kompletnie zmyślone, które nijak się mają do rzeczywistości :)

  33. Ja zamknąłem tam konto, a po 2 miesiącach okazało się że muszę zamykać jeszcze raz :)

  34. Dzwoniłem ostatnio do T-Mobile bankowe po blokadzie konta (pomyłka przy wpisywaniu hasła). Pytania na jakie musiałem odpowiedzieć:
    – Ile posiada pan rachunków w walucie PLN
    – -//- EUR
    – Jakie posiada pan środki na rachunku EUR
    – Ile aktywnych kart kredytowych Pan posiada.

  35. ostatnie 2 czy 3 przypadki kradziezy $ z kont w PL pokazaly ze to sa dobrze przygotowane grupy i maja takze “swoich” ludzi w bankach, jezeli pracownik banku moze autoryzowac takie operacje to juz kibel.

  36. To straszne, w ten weekend muszę się porządnie zabezpieczyć przed możliwością wyprowadzenia kasy z mojego konta – przepiję wszystko. ;)

  37. Jeśli przekręty robią pracownicy banku, to każde zabezpieczenie przez nas (klientów) stosowane jest do niczego.

    Oni mają wszystkie dane o nas i jeśli podadzą te dane znajomemu to weryfikacja telefoniczna jest banalnie prosta do przejścia.

  38. Mam chyba teorię: ludzie którzy wyjajnują mieszkania, często się przprowadzają. Sam często na skrzynce widzę listy do wyjnajmujących którzy już opuścili lokal: rachunki,windykacja a nawet… Polecone onawrlokalonawrlokaoPolecone

  39. Moja mama przechytrzyła bankowy system i ma podwójne nazwisko. Jak żyć?

  40. T-Mobile usługi bankowe maja w ogole dziwna polityke bezpieczenstwa. Mam u nich konto i uzywam go do bierzacych platnosci. Wychodzi za darmo i dostaje 25zl cash back, wiec jest calkiem spoko.
    Co jakis czas dzwonia do mnie zeby wcisnac kredyt. Jednak na poczatku roku zadzwonil z infolini T-mobile i mowi ze ma dla mnie super oferte tylko ma pare pytan zeby zwerywikowac moja tozsamosc. Powiedzialem mu, ze nie odpowiem na nie, bo nie mam pewnosci ze dzwoni z T-mobile. Facet podal mi swoje dane i powidzial zebym je zweryfikowal na infolini. Pozniej dzwonil jeszcze pare razy ale juz nie odbieralem.
    Jezeli to byl faktycznie ich pracownik to sami ucza swoich klientow zlych nawykow :(

  41. Potwierdzam, że weryfikacja w TMUB nie jest trywialna. Masa danych personalnych + kilka niebanalnych odnośnie konta. Żeby dobrze strzelić, to trzeba mieć źródło danych (nawet nie wystarczy w pełni przejęcie konta, choć sporo ułatwi). W porównaniu do kilku banków, w których to jest “imię, nazwisko, czy ma Pan(i) konto walutowe w dolarach”, wypadają nieźle.

  42. Od dawna twierdzę, że bankowość internetowa nie jest bezpieczna na tyle by jej ufać. Dlatego radzę wszystkim, środki duże trzymać na innym koncie i realizować z niego tylko duże wpłaty i wypłaty – nigdy przez telefon. Natomiast bieżące płatności, obsługę , zakupy, realizować z pomocniczego konta. To na pewno utrudni probe kradzieży ponieważ częstotliwość, stopień zabezpieczeń i miejsca korzystania mają istotne znaczenie w zmniejszeniu ryzyka.

  43. @KRI http://bit.ly/10minut-infolinia – geniusz zawsze wie co robi. Co dalej ?? sierżant Grahamka ?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: